Addendum all'elaborazione dei dati Firebase

INTRODUZIONE

Il presente Addendum sul trattamento dei dati fa parte dell'accordo tra l'utente e iProov Limited relativo all'utilizzo dei Servizi di prova.

Le definizioni di cui all'Allegato 3 si applicano al presente Addendum al trattamento dei dati. Se un termine non è altrimenti definito nell'Allegato 3 del presente Addendum al trattamento dei dati o in altre parti dello stesso, tali termini avranno il significato loro attribuito nel resto dell'Accordo.

1. TRATTAMENTO DEI DATI PERSONALI

1.1 Nell'esecuzione dei Servizi di Prova:

    1. iProov agisce in qualità di Elaboratore; e
    2. agisce in qualità di Controllore.

1.2 iProov tratterà i dati personali dell'utente in conformità agli obblighi dei Responsabili del trattamento ai sensi delle leggi britanniche e dell'UE sulla protezione dei dati.

1.3 iProov tratterà i dati personali al fine di fornire i Servizi di Prova in conformità con l'Accordo. L'Allegato 1 (Dettagli sul trattamento dei dati) specifica ulteriormente la natura e la finalità del trattamento, le attività di trattamento, la durata del trattamento, i tipi di dati personali e le categorie di soggetti interessati.

1.4 L'utente nomina iProov come incaricato del trattamento dei suoi dati personali per conto e in conformità alle sue istruzioni (a) come stabilito nell'Accordo (che include il presente Addendum sul trattamento dei dati), e come altrimenti necessario per iProov per fornire i Servizi di Prova all'utente, il che include (ma non si limita a) (i) l'investigazione di incidenti di sicurezza e la prevenzione di spam, attività fraudolente e violazioni della Politica d'Uso Accettabile e (ii) l'individuazione e la prevenzione di exploit o abusi di rete; (b) se necessario per conformarsi alle leggi o ai regolamenti applicabili, compresa la legislazione sulla protezione dei dati; e (c) come altrimenti concordato per iscritto tra iProov e l'utente.

1.5 L'utente garantisce, dichiara e si impegna a garantire in ogni momento che:

    1. vi assicurerete che le vostre istruzioni siano conformi alla legislazione sulla protezione dei dati;
    2. siano stati forniti un trattamento equo e tutti gli altri avvisi appropriati agli interessati dei vostri dati personali (e tutti i consensi necessari da parte di tali interessati siano stati ottenuti e mantenuti in ogni momento) nella misura richiesta dalla legislazione sulla protezione dei dati in relazione a tutte le attività di trattamento dei vostri dati personali che possono essere intraprese da iProov e/o dai suoi subprocessori ai sensi dell'Accordo e del presente Addendum sul trattamento dei dati;
    3. avete rispettato e continuerete a rispettare la legislazione sulla protezione dei dati in relazione all'uso dei Servizi di prova e al vostro trattamento dei dati personali e all'esercizio e all'adempimento dei vostri rispettivi diritti e obblighi ai sensi dell'Accordo, compreso il mantenimento di tutte le registrazioni e le notifiche regolamentari pertinenti come richiesto dalla legislazione sulla protezione dei dati;
    4. l'utente ha, e continuerà ad avere, il diritto di trasferire o fornire l'accesso a qualsiasi dato personale a iProov per il trattamento in conformità ai termini dell'Accordo e del presente Addendum sul trattamento dei dati;
    5. se lo stipulate in qualità di Organizzazione, voi e l'Organizzazione avete intrapreso una due diligence in relazione all'attività, alle operazioni di trattamento e agli impegni di iProov e siete convinti (e in ogni momento in cui continuate a utilizzare i Servizi di Prova rimanete convinti) che:
      1. Le operazioni di trattamento di iProov sono adeguate alle finalità per le quali l'utente propone di utilizzare i Servizi di Prova e incarica iProov di trattare i suoi Dati Personali;
      2. le misure tecniche e organizzative stabilite nel presente Addendum al trattamento dei dati e nell'Accordo (ciascuno come aggiornato di volta in volta) garantiranno (se iProov rispetterà i propri obblighi in tal senso) un livello di sicurezza adeguato al rischio in relazione ai Suoi dati personali, come richiesto dalla legislazione sulla protezione dei dati; e
      3. iProov dispone di competenze, affidabilità e risorse sufficienti per implementare misure tecniche e organizzative che soddisfino i requisiti della legislazione sulla protezione dei dati.

1.6 L'utente riconosce che iProov non è responsabile di determinare quali leggi o regolamenti siano applicabili a lui, alla sua attività o alla sua organizzazione, né se la fornitura dei Servizi di Prova da parte di iProov soddisfi o soddisferà i requisiti di tali leggi. Vi impegnate a garantire che il trattamento dei vostri dati personali da parte di iProov, se effettuato in conformità con l'Accordo, non comporti la violazione da parte di iProov di alcuna legge o regolamento applicabile, compresa la legislazione sulla protezione dei dati. iProov vi informerà qualora venga a conoscenza, o ritenga ragionevolmente, che le vostre istruzioni violino la legislazione sulla protezione dei dati.

2.1 SICUREZZA

2.1 iProov attuerà le misure tecniche e organizzative di cui all'Allegato 2 del presente Addendum al trattamento dei dati in relazione al trattamento dei dati personali dell'utente.

2.2 L'utente dovrà valutare se le misure di sicurezza implementate in conformità al paragrafo 2.1 sono sufficienti a proteggere i dati personali dell'utente contro la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso accidentali, non autorizzati o illegali, nella misura richiesta dalla legislazione sulla protezione dei dati, in base alle circostanze.

2.3 L'utente riconosce che iProov fornisce un servizio commoditised one-to-many e che le esigenze o le valutazioni di altri clienti possono essere diverse; iProov non è obbligato a implementare misure di sicurezza diverse per l'utente, ma quest'ultimo può interrompere l'utilizzo dei Servizi di Prova se ritiene che le misure adottate da iProov non siano sufficienti per le sue esigenze.

3. SOTTOPROCESSIONE

3.1 iProov non subappalterà alcun Trattamento dei Dati Personali a terzi subincaricati senza il vostro previo consenso scritto e si assicurerà che tali subincaricati (ciascuno, un "Subincaricato") siano vincolati da termini che (i) siano almeno equivalenti ai termini stabiliti nel presente Addendum sul Trattamento dei Dati, o (ii) nel caso di Fornitori di Servizi Cloud, siano i termini che il Fornitore di Servizi Cloud offre a titolo di conformità alle Leggi sulla Protezione dei Dati del Regno Unito e dell'UE. Con la presente, l'utente acconsente e autorizza (a) iProov Limited e (b) i seguenti soggetti (ciascuno un "Fornitore di servizi cloud") come responsabili del trattamento: Microsoft Limited c/o Microsoft Ireland Operations Limited, One Microsoft Place, South County Industrial Park, Leopardstown, Dublino, Irlanda (o un altro membro del suo gruppo) per quanto riguarda il servizio Azure; AWS EMEA SARL (un'entità lussemburghese) (o un altro membro del suo gruppo) per quanto riguarda Amazon Web Services (AWS); Google Ireland Limited, con uffici a Gordon House, Barrow Street, Dublino 4, Irlanda (o un altro membro del suo gruppo) per quanto riguarda Google GCP.

3.2 iProov sarà e rimarrà pienamente responsabile per tutti gli atti e le omissioni di ciascun Subprocessore come se fossero propri.

4. DIRITTI DELL'INTERESSATO

iProov vi assisterà nel rispondere alle Richieste dell'Interessato nella misura in cui ciò sia tecnicamente fattibile e richiesto dalle leggi britanniche e comunitarie in materia di protezione dei dati. iProov vi comunicherà, senza indebiti ritardi, qualsiasi Richiesta dell'Interessato e vi risponderà solo dietro vostre istruzioni scritte (a vostro costo e spese) o come richiesto dalla legge. A meno che non sia vietato dalla legislazione in materia di protezione dei dati, l'utente è responsabile di eventuali costi e/o spese sostenuti da iProov per fornire questa assistenza e rimborserà iProov per tali costi e/o spese immediatamente su richiesta di iProov.

5. VIOLAZIONI DEI DATI PERSONALI

iProov vi informerà senza indebito ritardo nel momento in cui verrà a conoscenza di una violazione dei vostri dati personali e vi fornirà le informazioni richieste da iProov ai sensi della legislazione applicabile in materia di protezione dei dati (nella misura in cui tali informazioni siano, in quel momento, sotto il controllo o in possesso di iProov).

6. VALUTAZIONE DELL'IMPATTO SULLA PROTEZIONE DEI DATI E CONSULTAZIONE PREVENTIVA

iProov fornirà una ragionevole collaborazione all'utente in relazione a qualsiasi valutazione d'impatto sulla protezione dei dati o consultazione con le autorità di regolamentazione che potrebbe essere richiesta in conformità con la legislazione sulla protezione dei dati (a spese dell'utente).

7. RESTITUZIONE O CANCELLAZIONE DEI DATI PERSONALI.

7.1 Fatto salvo il paragrafo 7.2 e il Periodo di conservazione, alla risoluzione o alla scadenza del Contratto, iProov, in conformità all'Allegato 1 (Dettagli del trattamento) del presente Addendum al trattamento dei dati, cancellerà o renderà irreversibilmente anonimi (a discrezione di iProov) i Suoi dati personali memorizzati o trattati come parte o nell'ambito dei Servizi di prova.

7.2 In deroga a qualsiasi disposizione contraria contenuta nel presente Addendum sul trattamento dei dati, iProov può conservare i dati personali dell'utente, o parte di essi, se richiesto dalla legge o dai regolamenti applicabili, compresa la legislazione sulla protezione dei dati.

7.3 Durante il periodo in cui i dati personali dell'utente sono conservati a seguito della risoluzione o della scadenza del presente accordo ai sensi del presente paragrafo, iProov garantirà che i dati personali dell'utente:

      1. è trattato solo nella misura necessaria per le finalità descritte nel presente Addendum sul trattamento dei dati; e
      2. rimane protetto in conformità ai termini del Contratto, del presente Addendum sul trattamento dei dati e delle leggi sulla protezione dei dati del Regno Unito e dell'UE.

8. DIRITTI DI AUDIT

8.1 iProov metterà a vostra disposizione, entro un periodo di tempo ragionevole dalla vostra richiesta scritta, le informazioni che iProov riterrà ragionevolmente adeguate alle circostanze per dimostrare la propria conformità al presente Addendum sul trattamento dei dati.

8.2 Qualora l'utente dimostri ragionevolmente che le informazioni fornite da iProov ai sensi del paragrafo 8.1 non sono sufficienti a dimostrare la conformità di iProov al presente Addendum sul trattamento dei dati, iProov consentirà all'utente o al suo revisore (il "Revisore") (che includerà revisori interni ed esterni e, se del caso, Autorità di vigilanza) di accedere, durante il normale orario di lavoro di iProov e con un ragionevole preavviso (e in ogni caso con un preavviso di almeno 60 giorni), alla verifica di tutti i registri e i materiali pertinenti in possesso di iProov, necessari a dimostrare tale conformità. Tale accesso sarà soggetto a quanto segue:

      1. Gli audit saranno condotti a distanza, a meno che non sia richiesta per legge una visita in loco;
      2. l'utente si impegna a rispettare e a garantire che qualsiasi Auditor sia conforme alla legislazione sulla protezione dei dati e a qualsiasi ragionevole requisito di sicurezza e riservatezza di iProov;
      3. l'accesso sarà consentito solo nei locali e sui sistemi stabiliti da iProov a sua ragionevole discrezione (e a scanso di equivoci, sarà ragionevole per iProov tenere conto di eventuali altri clienti di iProov, di eventuali interruzioni dell'attività di iProov e di eventuali obblighi di riservatezza di iProov, nel determinare quale accesso sia ragionevole);
      4. non sarà consentito l'accesso a registri o materiali o sistemi che contengano informazioni relative ad altri clienti di iProov;
      5. l'accesso non sarà concesso a nessun revisore che non sia in grado di fornire prove ragionevoli della propria identità o autorità; e
      6. l'accesso non sarà concesso in più di un'occasione nell'arco di 12 mesi, a meno che l'utente non dimostri a iProov che è necessario un controllo più frequente, al fine di soddisfare gli obblighi previsti dalla legislazione in materia di protezione dei dati.

8.3 Il Fornitore dovrà fare in modo che i propri Revisori si impegnino al massimo per evitare qualsiasi danno o interruzione ai locali, alle attrezzature, al personale, ai dati o all'attività di iProov durante qualsiasi audit in sede e il Fornitore dovrà indennizzare iProov per qualsiasi danno o interruzione.

8.4 L'utente dovrà pagare (e rimborsare a iProov su richiesta) tutti i costi e le spese di iProov in relazione allo svolgimento della verifica, a meno che tale verifica non riveli che iProov ha materialmente violato i suoi obblighi ai sensi del presente paragrafo 8, nel qual caso iProov dovrà sostenere i propri costi e spese.

9. TRATTAMENTO DEI DATI PERSONALI DEI RESIDENTI IN CALIFORNIA

9.1 Ai fini del presente Paragrafo 9, i termini "attività", "scopo commerciale", "vendita" e "fornitore di servizi" avranno i rispettivi significati attribuiti ad essi nel CPRA, e "informazioni personali" significherà i Suoi Dati Personali che costituiscono informazioni personali disciplinate dal CPRA.

9.2 Per quanto riguarda le informazioni personali, iProov è un fornitore di servizi. iProov non potrà (a) vendere le informazioni personali; (b) fatto salvo il paragrafo 7, conservare, utilizzare o divulgare le informazioni personali per scopi diversi da quelli specifici della fornitura del Servizio di Prova, compresa la conservazione, l'utilizzo o la divulgazione delle informazioni personali per uno scopo commerciale diverso dalla fornitura del Servizio di Prova; o (c) fatto salvo il paragrafo 7, conservare, utilizzare o divulgare le informazioni personali al di fuori del rapporto commerciale diretto tra iProov e l'utente. iProov certifica di aver compreso i propri obblighi ai sensi del presente paragrafo 9.2 e che li rispetterà.

9.3 Si riconosce che la conservazione, l'uso e la divulgazione da parte di iProov dei dati personali documentati nel presente Addendum sul trattamento dei dati è parte integrante dell'elaborazione e della fornitura dei Servizi di Prova da parte di iProov.

10. TRASFERIMENTI INTERNAZIONALI DI DATI

10.1 Durante il processo di installazione dell'Estensione, vi verrà fornita l'opzione di selezionare il paese in cui i vostri Dati Personali saranno ospitati da iProov in relazione all'utilizzo o all'accesso ai Servizi di Prova (la "Regione di Hosting") e accettate che, se questa opzione è prevista, selezionerete il paese in cui i Servizi di Prova saranno utilizzati o resi disponibili (o prevalentemente utilizzati o resi disponibili, a seconda dei casi), come Regione di Hosting.

10.2 iProov (e i suoi Subprocessori) può trasferire i dati personali dell'utente solo nei seguenti paesi: Regno Unito, UE e Regione ospitante (insieme, i "Territori") e l'utente autorizza iProov (o qualsiasi Subprocessore) a trasferire i dati personali dell'utente in uno qualsiasi dei Territori e il presente paragrafo 10 costituisce un'istruzione dell'utente in merito ai trasferimenti.

11. INCORPORAZIONE E PRECEDENZA

In caso di conflitto o incongruenza tra il presente Addendum sul trattamento dei dati e la parte restante del presente Contratto, i termini del presente Addendum sul trattamento dei dati avranno la precedenza e prevarranno.

ALLEGATO 1

DETTAGLI DEL TRATTAMENTO DEI DATI

Il presente Allegato 1 contiene alcuni dettagli sul trattamento dei Suoi dati personali, come richiesto dall'articolo 28(3) del GDPR.

Dettagli del trattamento

Categorie di soggetti interessati: voi e/o gli Utenti
Categorie di dati personali:
  • Dati di interazione con l'utente (include dati su come gli utenti interagiscono con il servizio)
  • Informazioni relative al dispositivo dell'Interessato, che possono includere un indirizzo IP.
  • Indirizzo IP del dispositivo dell'Interessato connesso ai Servizi di Prova e/o all'Applicazione.
  • Credenziali di autenticazione, comprese le chiavi API e i segreti utilizzati per identificare gli interessati.
  • Immagini del volto dell'Interessato create durante l'utilizzo dei Servizi di Prova, ad esempio immagini scattate con la fotocamera del dispositivo.
  • Nome utente pseudonimo dell'interessato
  • Identificatore di un'istanza installata di Android, IOS o Flutter.
  • Un modello biometrico dell'utente/utenti
Natura e finalità del trattamento:
  • Elaborazione in conformità ai diritti e agli obblighi delle parti ai sensi dell'Accordo;
  • elaborazione come ragionevolmente richiesto per fornire i Servizi di Prova; e
  • l'elaborazione avviata, richiesta o istruita dall'utente o dagli utenti in relazione all'uso dei Servizi di prova.
Durata del trattamento: Per la durata del Contratto o (se più lunga) in conformità alle vostre istruzioni.

Per quanto riguarda ogni immagine facciale di qualsiasi Soggetto interessato creata o trasferita a iProov in relazione all'utilizzo dei Servizi di Prova, iProov cancellerà l'immagine facciale in questione entro e non oltre 14 giorni dal trattamento di tale immagine in relazione alla fornitura dei Servizi di Prova (il "Periodo di conservazione").

ALLEGATO 2

MISURE DI SICUREZZA

iProov mantiene la conformità allo standard di sicurezza ISO/IEC 27001:2013, il cui ambito di applicazione includerà i Servizi di Prova forniti all'utente e che comprende i seguenti standard:

  • ISO/IEC 27001:2013 sezione 5.3 - Ruoli organizzativi, responsabilità e autorità
  • ISO/IEC 27001:2013 sezione 8.2 - Valutazione del rischio per la sicurezza delle informazioni
  • ISO/IEC 27002:2013 sezione 9 - Controllo degli accessi
  • ISO/IEC 27002:2013 sezione 10 - Crittografia
  • ISO/IEC 27002:2013 sezione 9.2.4 - Gestione delle informazioni segrete di autenticazione degli utenti
  • ISO/IEC 27002:2013 sezione 11.1 - Gestione delle aree sicure
  • ISO/IEC 27002:2013 sezione 12.1.2 - Gestione delle modifiche
  • ISO/IEC 27002:2013 sezione 16.1 - Gestione degli incidenti di sicurezza delle informazioni e dei miglioramenti
  • ISO/IEC 27002:2013 sezione 13.1 - Gestione della sicurezza della rete
  • ISO/IEC 27002:2013 sezione 12.6 - Gestione delle vulnerabilità tecniche
  • ISO/IEC 27002:2013 sezione 17 - Aspetti di sicurezza delle informazioni nella gestione della continuità operativa.

ALLEGATO 3

DEFINIZIONI

  1. Nel presente Addendum sul trattamento dei dati, i termini hanno il significato loro attribuito nel presente Allegato 3.
  2. Qualsiasi termine in maiuscolo non definito nel presente Allegato 3 o nell'Accordo avrà il significato attribuitogli nel GDPR del Regno Unito.
  • "Legge applicabile" indica quanto segue nella misura in cui fa parte della legge di qualsiasi giurisdizione applicabile:
  1. a) qualsiasi legge, normativa, regolamento, byelaw o legislazione subordinata in vigore di volta in volta;
  2. b) il diritto comune e le leggi di equità di volta in volta applicabili;
  3. c) qualsiasi ordinanza, sentenza o decreto vincolante del tribunale; o
  4. d) qualsiasi direttiva, politica, norma o ordine applicabile emesso o impartito da qualsiasi organismo di regolamentazione avente giurisdizione su una parte o su qualsiasi bene, risorsa o attività di tale parte;
  • "Informazioni biometriche" indica qualsiasi informazione, indipendentemente dal modo in cui viene acquisita, convertita, archiviata o condivisa, basata sull'identificatore biometrico di un individuo utilizzato per identificarlo.
  • "Leggi sulle informazioni biometriche" indica tutte le Leggi applicabili e le leggi e i regolamenti vincolanti in materia di informazioni biometriche che riguardano l'uso delle Informazioni biometriche o dei dati biometrici.
  • "Identificatore biometrico" indica le caratteristiche fisiologiche, biologiche o comportamentali di un individuo, compreso l'acido desossiribonucleico (DNA), che possono essere utilizzate, singolarmente o in combinazione tra loro o con altri dati identificativi, per stabilire l'identità individuale. Gli identificatori biometrici possono includere, a titolo esemplificativo ma non esaustivo, immagini dell'iride, della retina, delle impronte digitali o del volto, della mano, del palmo della mano, modelli di vene e registrazioni vocali o video, da cui è possibile estrarre un modello di identificatore, come un'impronta facciale, un modello di minuzie o un'impronta vocale, nonché modelli o ritmi di battitura, modelli o ritmi di andatura e dati relativi al sonno, alla salute o all'esercizio fisico che contengono informazioni identificative.
  • "CPRA" indica il California Privacy Rights Act del 2020 e qualsiasi regolamento vincolante promulgato in base ad esso.
  • "Legislazione sulla protezione dei dati" indica qualsiasi Legge Applicabile relativa a (i) privacy e sicurezza dei dati, inclusi (a titolo esemplificativo e non esaustivo) il GDPR e il CPRA o (ii) dati biometrici o Informazioni Biometriche, incluse le Leggi sulle Informazioni Biometriche;
  • "Richiesta dell'interessato" indica l'esercizio da parte degli Interessati dei loro diritti ai sensi del Capo III del GDPR, in relazione ai Suoi Dati Personali.
  • "Eliminare" significa rimuovere o cancellare i Dati personali in modo tale che non possano essere recuperati o ricostruiti, e "cancellazione" deve essere interpretata di conseguenza.
  • "SEE" indica lo Spazio Economico Europeo.
  • "GDPR" significa, come e dove applicabile:
  1. a) il Regolamento(UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (il "GDPR UE"); e/o
  2. b) il GDPR dell'UE in quanto parte del diritto del Regno Unito in virtù dell'articolo 3 dell'European Union (Withdrawal) Act 2018, come modificato (anche dal Data Protection, Privacy and
    c) Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019) (il "    GDPR DEL REGNO UNITO").
  • "Salvaguardie legali" indica il meccanismo o i meccanismi legalmente applicabili per i Trasferimenti di Dati Personali che possono essere consentiti dalle Leggi sulla Protezione dei Dati del Regno Unito e dell'Unione Europea, di volta in volta;
  • "Violazione dei dati personali" indica qualsiasi violazione della sicurezza, effettiva o ragionevolmente sospetta, che comporti la distruzione accidentale, illegale o non autorizzata, la perdita, l'alterazione, la crittografia, l'acquisizione, la divulgazione o l'accesso ai Dati personali trasmessi, memorizzati o altrimenti trattati da iProov ai sensi o in relazione all'Accordo.
  • "Periodo di conservazione" indica il periodo indicato come tale nell'Allegato 1.
  • "Autorità di vigilanza" significa:
  1. a) nel nel contesto del Regno Unito e del GDPR del Regno Unito, si intende l'Information Commissioner's Office del Regno Unito;
  2. b) nel contesto del GDPR SEE e UE, ha il significato attribuito a tale termine nell'articolo 4, paragrafo 21, del GDPR UE; e
  3. c) qualsiasi altra autorità normativa, governativa o pubblica indipendente con giurisdizione su tutto o parte di (a) l'applicazione della legislazione sulla protezione dei dati; e (b) i Servizi di Prova.
  • "Trasferimento" ha lo stesso significato della parola "trasferimento" di cui all'articolo 44 del GDPR (e termini correlati come Trasferimenti, Trasferito e Trasferimento hanno un significato corrispondente).
  • "Leggi sulla protezione dei dati del Regno Unito e dell'UE" indica le Leggi applicabili in materia di protezione dei dati o di privacy che si applicano nel Regno Unito e nell'UE, compresi il GDPR e il Data Protection Act 2018 nel Regno Unito.
  • "Dati personali dell'utente" indica i Dati Personali trattati da o per conto di iProov per conto dell'utente (compresi i Dati Personali dei suoi Utenti o dell'Organizzazione) ai sensi o in relazione all'Accordo (che include il presente Addendum al Trattamento dei Dati).